1 Bezpieczny dokument elektroniczny czy papierowy?Kraków, 26 lutego 2013 r. Michał Tabor Dyrektor ds. operacyjnych CISSP
2 Cel: Niezmiennik: Narzędzie:Zakres prezentacji Cel: Przekładanie procesów papierowych na elektroniczne Niezmiennik: Zaufanie do dokumentu Narzędzie: Adekwatne zabezpieczenia do procesu biznesowego
3 PRZYKŁAD
4 Historia: książeczka oszczędnościowaŹródło: Wikipedia
5 Wyobraźmy sobie elektroniczną książeczkę oszczędnościową:Zła Informatyzacja Wyobraźmy sobie elektroniczną książeczkę oszczędnościową: Każdy ma na swoim komputerze Na nośniku nosi do banku przy każdej wpłacie i wypłacie Dzięki temu każdy czuje się bezpieczniej – bo książeczkę ma przy sobie i zna jej stan; bank natomiast nie może dodać i odjąć wpisu
6 Teraźniejszość bankowości elektronicznejKsiążeczka oszczędnościowa nie ma postaci dokumentu elektronicznego!!! Zinformatyzowano procesy!!!
7 Bezpieczeństwo informacji
8 Spojrzenie na bezpieczeństwo
9 Spojrzenie na bezpieczeństwo
10 Definicja bezpieczeństwaKoszty zabezpieczeń Wartość aktywów Prawdopodobieństwo ich utraty
11 Trzy filary bezpieczeństwaPodpis elektroniczny Repozytoria Wiązanie elementów Znaczniki czasu Integralność Szyfrowanie Autoryzacja Poufność Redundancja Procedury awaryjne SLA Dostępność
12 Zaufanie do dokumentu (elektronicznego)Pieczęć
13 ZAPEWNIENIE ZAUFANIA
14 Centralne zarządzanie dokumentami Zapewnienie zaufania Centralne zarządzanie dokumentami Centralne zarządzanie poświadczeniami dokumentów Zarządzenie rozproszone oparte o poświadczenia osób
15 Zabezpieczenie centralne
16 Proces gdzie dokument zabezpiecza EOD
17 Zabezpieczenie centralneWyciągi bankowe i potwierdzenia przelewu Dziennik ustaw CIDG ZALETY Niezależność Oparcie o zaufanie do instytucji WADY Konieczność tworzenia zabezpieczeń po stronie serwerowej Rozpoznawalność tylko lokalna Konieczna dostępność on-line w procesie umieszczania i czytania
18 Przykład - CEIDG
19 Centralne zarządzanie poświadczeniami 1
20 Zabezpieczenie podpisem elektronicznym
21 Centralne zarządzanie poświadczeniamiProfil zaufany Web 2.0 Signature DocuSign, EchoSign ZALETY Powszechna rozpoznawalność Kontrola nad przepływającymi dokumentami Możliwość centralnego zarządzania Możliwość czytania off-line WADY Konieczność dostępu on-line w procesie podpisywania
22 Przykład Profil ZaufanyPieczęć złożona przez ePUAP i potwierdzająca, że osoba ujawniona w profilu zaufanym zleciła podpisanie dokumentu Pieczęć
23 DocuSign
24 Zarządzenie oparte o poświadczenia osób
25 Zabezpieczenie między uczestnikami
26 Zarządzenie oparte o poświadczenia osóbPRZYKŁADY Podpis kwalifikowany ZALETY Powszechna rozpoznawalność WADY Brak kontroli nad podpisywanymi dokumentami Brak gwarancji dotyczących dokumentu Konieczność dostępu on-line w procesie weryfikacji
27 Potrzeba podpisu elektronicznego?
28 Podpis elektroniczny Użytkownik podpisu Ten, który potrzebuje podpisaćTen, który potrzebuje zrealizować proces biznesowy (zawierający podpis)
29 Użytkownik podpisu elektronicznego:Nowa definicja Użytkownik podpisu elektronicznego: Osoba lub podmiot, który definiuje potrzebę posiadania podpisanych elektronicznie dokumentów w swoim procesie biznesowym Podejmujący działanie i ryzyko na podstawie zaufania podpisowi elektronicznemu
30 Jakie informacje przechowujemy i czy potrzebnie Analiza do wykonania Jakie informacje przechowujemy i czy potrzebnie Jaka jest ich wartość – czyli ile są one dla nas warte Jak i od kogo zbieramy informacje Jak zabezpieczamy informacje by nie traciły na wartości … dobór narzędzi.
31 Kilka przykładów
32 Przykład 1 Rozwiązanie Deklaracje PIT Właściciel procesu Ministerstwo Finansów Cel Zebranie obowiązkowych deklaracji podatkowych Użytkownik MF / Urzędy skarbowe – właściciel procesu Podpisujący Obywatel / Przedsiębiorca Bezpieczeństwo Niskie ryzyko oszustwa i łatwa jego wykrywalność Koszty Za rozwiązanie płaci MF i nie ponosi kosztów podpisujący
33 Przykład 2 Rozwiązanie Portal Allegro Właściciel procesu Zarządca allegro Cel Zabezpieczenie transakcji kupna - sprzedaży Użytkownik Sprzedający, Kupujący - podejmujący ryzyko Podpisujący Sprzedający/Kupujący Bezpieczeństwo Historia zleceń, oznaczenie zaufania, płatność Koszty Koszt po stronie sprzedającego, ale finansowane z marży
34 Przykład 3: DocuSign Import dokumentu do podpisaniaUstalenie procesu biznesowego Żądanie podpisów i rozsyłanie Podpisywanie Powiadomienie o zakończeniu procesu biznesowego
35 Przykład 3 Rozwiązanie DocuSign Właściciel procesu Wysyłający Cel Zabezpieczenie transakcji opisanej workflow Użytkownik Wysyłający do podpisu – żądający transakcji Podpisujący Adresat dokumentu Bezpieczeństwo podpisującego, IP z którego podpisano, historia Koszty Koszt po stronie wysyłającego
36 Posiadacz certyfikatu Bezpieczeństwo Zapewnione prawnie Koszty A jak jest źle!!! Rozwiązanie Podpis kwalifikowany Właściciel procesu Brak Cel Dowolny Użytkownik Podpisujący? Podpisujący Posiadacz certyfikatu Bezpieczeństwo Zapewnione prawnie Koszty Koszt posiadania certyfikatu, koszt zabezpieczenia podpisu W tym układzie to nigdy nie będzie narzędzie biznesowe – bo nie jest dostarczane w wyniku potrzeby biznesowej.
37 Dziękuję za uwagę Q&A Michał Tabor Tel. 501 557 094